绝大多数失败场景该用 error,而非 panic;error 用于可预期、可恢复的业务错误,如文件不存在、JSON 解析失败;panic 仅用于程序无法继续运行的致命缺陷,如关键配置缺失、逻辑矛盾或不可达分支。
error,而不是 panic
绝大多数你遇到的失败场景,都应该用 error —— 它是 Go 的“常规错误通道”,不是缺陷,而是设计的一部分。
常见错误现象:调用 os.ReadFile("missing.txt") 返回非空 err;json.Unmarshal 解析非法 JSON;HTTP 客户端收到 404 或超时。这些都不是程序崩了,只是“事情没办成”,调用方完全能判断、重试、降级或返回友好提示。
errors.New("invalid email")
sql.ErrNoRows,而非 panicerror,供上层决定是否退避重试error 路线;Go 标准库几乎全部如此panic
panic 不是“更严重的 error”,它是“程序已无法信任自身状态”的熔断信号。一旦发生,继续运行可能污染数据、掩盖真正 bug,甚至引发竞态或内存泄漏。
典型触发点:
if cfg.DBURL == "" { panic("DBURL required") }
nil(比如注册的 logger 未初始化就调用)default,却走到了不可能分支:case StateDone: ... default: panic("unreachable: state=" + s.String())
if len(data) != expectedLen { panic("inconsistent data length") }
注意:panic 不该用于处理用户输入、网络抖动、磁盘满等可恢复或可预期状况 —— 这些都属于业务流程的一部分,不是程序崩溃的理由。
recover 拦截 panic
recover 只应在极少数边界场景下使用,比如 HTTP handler 顶层兜底防止整个服务因单个请求 panic 而退出;或测试中模拟崩溃行为。
常见错误现象:在每个函数里写 defer func(){ if r := recover(); r != nil { log.Printf("recovered: %v", r) } }() —— 这等于把 panic 当 error 用,掩盖了本该暴露的逻辑缺陷。
Go 运行时自动触发的 panic(如 index out of range、nil p)和你手动 
panic 在语义上是一致的:都表示“当前 goroutine 已无法安全继续”。区别只在于谁发现的 —— 是编译器/运行时,还是你自己。
这意味着:如果你主动 panic("config missing"),和忘记判空导致 *nilPtr 崩溃,在运维视角下没有本质区别 —— 都是进程退出、日志报错、需要人工介入。所以真正的分水岭不在“谁调用 panic”,而在于“这个失败是否本可被提前检查并返回 error”。
一个简单心法:如果错误发生前,你能用 if 判断条件并选择返回 error,那就别 panic。panic 留给那些连 if 都写不出来的地方 —— 比如“这行代码理论上根本不可能被执行到”。